Anthropic убрала из Claude Code скрытый код против дистилляции моделей
1 июля Anthropic обновила Claude Code и удалила скрытый код, запущенный в марте. Он использовал стеганографию, чтобы выявлять китайские ИИ-лаборатории и реселлеров, подключающихся через прокси. Инженер Тарик Шихипар объяснил: компания разработала более эффективные меры, а эксперимент давно планировали убрать.
Anthropic удалила из Claude Code фрагмент кода, который больше года незаметно работал в фоне и отслеживал подозрительные подключения к API. Узнали об этом только после утечки исходников.
Что именно удалили и когда
В обновлении Claude Code от 1 июля 2025 года Anthropic убрала скрытый код, добавленный ещё в марте. Он был частью эксперимента по защите от дистилляции - попыток сторонних разработчиков воспроизвести поведение модели на основе её ответов.
Об удалении сообщил инженер компании Тарик Шихипар (Thariq Shihipar):
«Этот эксперимент мы запустили в марте, и он был призван предотвращать злоупотребление учётными записями со стороны неавторизованных реселлеров и защитить от дистилляции. С тех пор компания разработала более эффективные меры защиты, и мы на самом деле давно собирались его удалить».
Как работал скрытый механизм
В основе - метод стеганографии: сокрытие данных внутри обычно выглядящего текста. Claude Code слегка изменял системный запрос, встраивая в него почти невидимые маркеры Unicode.
Алгоритм работал так:
- Код проверял переменную базового URL, через которую API-запросы уходят к шлюзу или прокси.
- Если базовый URL переопределён - триггер срабатывал: проверялся часовой пояс системы.
- Полученные данные сверялись со списком адресов китайских ИИ-лабораторий, реселлеров аккаунтов и доменов шлюзов.
- Классификация прокси/шлюза кодировалась в обычную английскую фразу, внутри которой скрывался список доменов в форматах XOR и base64.
Эксперт под псевдонимом Thereallo, изучивший код после утечки, описал это так:
«Claude Code незначительно изменяет системный запрос, используя почти невидимые маркеры Unicode. Классификация прокси/шлюза кодируется в предложение, которое выглядит как обычная фраза на английском. В ней скрывается список доменов в форматах XOR и base64. Функция не вредоносная, но это странный выбор для разработчика, рассчитывающего на доверие».
Второй механизм: ANTI_DISTILLATION_CC
По данным 3DNews, утечка исходников Claude Code вскрыла ещё один инструмент защиты. В коде найден файл TypeScript с пометкой «ANTI_DISTILLATION_CC».
При активации этой пометки в API-запросы подмешиваются фиктивные данные - специально сконструированные так, чтобы быть «опасными при обучении сторонних моделей». Проще говоря: если кто-то пытается тренировать свою модель на ответах Claude, он получает намеренно отравленные данные.
Помимо этих двух механизмов, Anthropic также использовала:
- классификаторы и системы поведенческой идентификации;
- обмен данными об угрозах с другими ИИ-лабораториями;
- контроль доступа и контрмеры, усложняющие воспроизведение поведения модели.
Почему это всплыло
Скрытый код обнаружили только после утечки исходников Claude Code - не в ходе официального раскрытия. Anthropic не анонсировала эксперимент публично в марте, когда запускала его.
Сам по себе механизм технически не является вредоносным - он не собирал личные данные пользователей. Но факт скрытого изменения системных запросов без уведомления разработчиков, которые используют API через прокси, - это именно то, что подрывает доверие к платформе.
Что это значит
Если ты используешь Claude Code через прокси или шлюз - в том числе через сторонние сервисы доступа к API из России - до 1 июля твои запросы потенциально помечались и анализировались. Сейчас этот конкретный механизм удалён.
Важнее другое: история показывает, что ИИ-компании встраивают в свои продукты защитные слои, о которых публично не сообщают. Это не уникальная практика Anthropic - но теперь о ней известно конкретно.
Файл ANTI_DISTILLATION_CC в исходниках пока не удалён публично - его судьба неизвестна.
FAQ
Опасен ли был этот код для пользователей Claude Code? По имеющимся данным - нет. Код не собирал персональные данные, а отслеживал тип подключения (прокси/шлюз) и сверял с базой доменов. Тем не менее он работал скрытно.
Зачем Anthropic вообще это делала? Дистилляция - когда чужая компания массово прогоняет запросы через API, чтобы обучить на ответах собственную модель - реальная угроза для бизнеса. Claude стоит дорого в разработке, и такое «воровство» поведения модели Anthropic хочет пресечь.
Кто попадал под наблюдение? Все, кто подключался к Claude Code через переопределённый базовый URL - то есть через прокси или шлюз. Код дополнительно проверял часовой пояс и сверял домены с базой китайских ИИ-компаний и реселлеров.
Источник: 3DNews, 2 июля 2025